Barracuda full logo

Crise de financement du programme CVE : implications et réponse stratégique

Thèmes:
16 avr. 2025
|
Adam Khan

Aujourd'hui, la communauté de la cybersécurité se trouve à un tournant décisif, car le contrat conclu entre le gouvernement américain et MITRE Corporation pour le développement, l'exploitation et la modernisation du programme Common Vulnerabilities and Exposures (vulnérabilités et risques courants ou CVE), ainsi que d'autres initiatives connexes telles que CWE, arrive à expiration.

MITRE a mis en garde contre « de multiples répercussions sur les CVE, notamment la détérioration des bases de données et des avis nationaux sur les vulnérabilités, des fournisseurs d'outils, des opérations d'intervention en cas d'incident et de toutes sortes d'infrastructures critiques ».

Cette évolution a menacé la continuité d'un élément fondamental de l'infrastructure mondiale de cybersécurité. Dans une intervention de dernière minute, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a prolongé le financement et accordé un contrat relais de 11 mois afin de garantir la continuité des services des CVE.

Lettre du MITRE concernant le financement du programme CVE

Comprendre le programme CVE

Le programme CVE, créé en 1999 et géré par MITRE, fournit un système standardisé pour identifier et cataloguer les vulnérabilités en matière de cybersécurité connues du public. Chaque vulnérabilité se voit attribuer un identifiant unique (par exemple, CVE-2025-12345), ce qui facilite une communication cohérente entre les professionnels de la sécurité, les fournisseurs et les organisations du monde entier.

Les enregistrements CVE sont classés en fonction du type de vulnérabilité, du logiciel ou du matériel affecté et de l'impact potentiel. Ils comprennent généralement une brève description, des références à des avis publics ou à des correctifs, ainsi qu'une évaluation de la gravité, le cas échéant.

Le cycle de vie d’un élément CVE suit un processus structuré :

  1. Découverte : un chercheur, un fournisseur ou une organisation identifie une faille de sécurité potentielle.
  2. Soumission : le problème est signalé à une autorité de numérotation CVE (CNA), qui le valide et lui attribue un identifiant CVE.
  3. Divulgation : après validation, la vulnérabilité est divulguée publiquement soit par le découvreur, soit par la CNA, selon les modalités convenues.
  4. Publication : l'entrée CVE est publiée dans la liste CVE et mise à la disposition de la communauté pour être intégrée dans des outils et des bases de données.
  5. Maintenance continue : MITRE et les CNA surveillent les correctifs, les mises à jour et les documents de référence supplémentaires pour que les enregistrements restent exacts et utiles.

Le programme CVE sert de base à des outils et des cadres de sécurité tels que la National Vulnerability Database (Base de données nationale sur les vulnérabilités ou NVD), qui complète les enregistrements CVE avec des scores CVSS et des métadonnées, et la Common Weakness Enumeration (Énumération des faiblesses communes), qui classe les types de failles sous-jacentes.

En offrant un système centralisé, transparent et axé sur la communauté, le programme CVE favorise une gestion opportune des vulnérabilités et aide à coordonner les efforts de réponse à l'échelle mondiale.

Importance du programme CVE

Le programme CVE est fondamental pour les efforts mondiaux en matière de cybersécurité, et ce pour plusieurs raisons :

  • Standardisation : il propose un langage commun pour décrire les vulnérabilités, permettant ainsi une collaboration efficace entre les différentes organisations et secteurs.​
  • Intégration : de nombreux outils et processus de sécurité s’appuient sur les identifiants CVE pour fonctionner correctement, notamment les scanners de vulnérabilité, les systèmes de gestion des correctifs et les plateformes de renseignements sur les menaces.
  • Coordination : le programme soutient la divulgation coordonnée des vulnérabilités, ce qui permet aux fournisseurs et aux chercheurs de gérer et de communiquer efficacement sur les problèmes de sécurité.​

Sans le système CVE, la communauté de la cybersécurité aurait des difficultés à suivre, hiérarchiser et atténuer les vulnérabilités, ce qui entraînerait une hausse des risques et un potentiel d'exploitation par les cybercriminels.

Conséquences pour le secteur de la cybersécurité

La possible interruption du financement du programme CVE a soulevé plusieurs inquiétudes :​

  • Perturbations opérationnelles : une interruption dans l'attribution des CVE pourrait perturber les fournisseurs de solutions de sécurité, les équipes de sécurité telles que les intervenants en cas d'incident et bien d'autres encore, car les organisations ne disposeraient plus d'identifiants normalisés pour les nouvelles vulnérabilités.​
  • Risque accru : une identification tardive des vulnérabilités et des mesures correctives pourraient exposer les systèmes à des périodes de risque prolongées.​
  • Fragmentation : En l'absence d'un système centralisé, des méthodes disparates de suivi des vulnérabilités pourraient apparaître, entraînant des incohérences et une certaine confusion.​

Ces défis soulignent le rôle essentiel du programme CVE dans le maintien de la résilience de la cybersécurité dans les industries et les infrastructures nationales.

Réponse stratégique et recommandations

Pour garantir la durabilité et l'efficacité du programme CVE, les mesures suivantes sont recommandées :

1. Diversifier les sources de financement

Impliquer les parties prenantes du secteur privé, les partenaires internationaux et les organisations à but non lucratif afin qu'ils contribuent au financement du programme, réduisant ainsi la dépendance à l'égard d'une seule entité gouvernementale.​

2. Mettre en place une gouvernance indépendante

La création de la CVE Foundation vise à fournir une structure de gouvernance neutre et communautaire, renforçant ainsi la résilience et la confiance mondiale envers le programme.​

3. Améliorer la transparence

Une communication régulière sur le statut, le financement et l'orientation stratégique du programme peut renforcer la confiance des utilisateurs et des contributeurs.​

4. Investir dans l'automatisation

Tirer parti de l'automatisation et de l'intelligence artificielle peut améliorer l'efficacité des processus d'identification et de gestion des vulnérabilités.​

5. Renforcer la collaboration internationale

Favoriser les partenariats avec des organisations internationales spécialisées dans la cybersécurité afin de garantir une approche unifiée de la gestion des vulnérabilités et de partager les meilleures pratiques.

Mesures proactives de l'Union européenne

En réponse à l'évolution du paysage de la cybersécurité, l'Agence de l'Union européenne pour la cybersécurité (ENISA) a lancé la base de données européenne sur les vulnérabilités (EUVD). Cette initiative adopte une approche multipartite en collectant des informations sur les vulnérabilités accessibles au public à partir de plusieurs sources, notamment les équipes de réponse aux incidents de sécurité informatique (CSIRT), les fournisseurs et les bases de données existantes. L’EUVD vise à améliorer la transparence et l’efficacité de la gestion des vulnérabilités dans toute l’UE.

Garantir la résilience et la durabilité à l'avenir

La récente crise de financement du programme CVE met en évidence la fragilité des infrastructures essentielles de cybersécurité. Bien que des perturbations immédiates aient été évitées, il est impératif que la communauté mondiale de la cybersécurité prenne des mesures proactives pour garantir la résilience et la durabilité des systèmes de gestion des vulnérabilités. La collaboration, la diversification des sources de financement et la coopération internationale seront essentielles pour protéger nos écosystèmes numériques.

Références :

S’abonner au blog Barracuda
Adam Khan

Adam Khan est vice-président international des opérations de sécurité chez Barracuda MSP. Il dirige actuellement une équipe de sécurité internationale composée de membres très qualifiés des Blue, Purple et Red teams. Auparavant, il a travaillé plus de 20 ans pour des entreprises telles que Priceline.comBarnesandNoble.com, et Scholastic. L'expérience d'Adam est axée sur l'automatisation et la sécurité des applications/infrastructures. Il est passionné par la protection des PME contre les cyberattaques, PME qui sont le moteur de l'innovation aux États-Unis.

Billets associés :
Threat Spotlight : décryptage d’un kit d’hameçonnage furtif ciblant Microsoft 365
Threat Spotlight : décryptage d’un kit d’hameçonnage furtif ciblant Microsoft 365
 Les cybercriminels sont de plus en plus jeunes... et plus dangereux
Les cybercriminels sont de plus en plus jeunes... et plus dangereux
Lazarus Group : Un syndicat criminel avec un drapeau
Lazarus Group : Un syndicat criminel avec un drapeau
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.